Podczas dochodzenia w sprawie incydentu bezpieczeństwa odkryto, że platforma programistyczna w chmurze Vercel stała się celem cyberataku. Jednak włamanie nie miało bezpośredniego wpływu na podstawową infrastrukturę Vercel: źródłem problemu było narzędzie AI innej firmy zintegrowane z Google Workspace.
Główna przyczyna: luka w zabezpieczeniach protokołu OAuth
Włamanie było możliwe dzięki włamaniu do aplikacji Google Workspace **OAuth, której właścicielem jest zewnętrzny dostawca usług AI. We współczesnych środowiskach chmurowych OAuth to standardowa metoda, która umożliwia różnym aplikacjom komunikację i wymianę danych bez udostępniania haseł. Jeśli jednak bezpieczeństwo aplikacji innej firmy zostanie naruszone, może ona służyć jako backdoor, dając atakującym dostęp do dowolnej organizacji, która autoryzowała tę aplikację.
Incydent uwydatnia rosnący trend w cyberbezpieczeństwie: ataki na łańcuch dostaw. Zamiast bezpośrednio atakować dobrze broniony cel, taki jak Vercel, hakerzy obrali za cel słabsze ogniwo w ekosystemie — integracje z firmami zewnętrznymi — aby zyskać odskocznię do środowisk o wysokiej wartości.
Zakres i potencjalny wpływ
Wyniki dochodzenia wskazują, że problem nie ogranicza się do Vercel. Ponieważ złośliwa aktywność pochodzi z aplikacji OAuth narzędzia AI, zagrożone mogą być setki użytkowników w wielu organizacjach.
Głównym ryzykiem jest nieautoryzowany dostęp do danych i środowisk zarządzanych za pomocą Google Workspace, co może potencjalnie prowadzić do dalszego bocznego przemieszczania się atakujących w obrębie połączonych sieci korporacyjnych.
Natychmiastowe działanie dla administratorów
Aby zminimalizować dalsze ryzyko, zdecydowanie zachęca się specjalistów ds. bezpieczeństwa i administratorów IT do podjęcia następujących kroków:
– Przeprowadź audyt Google Workspace: administratorzy powinni natychmiast sprawdzić wszystkie autoryzowane aplikacje OAuth w swojej organizacji.
– Zidentyfikuj złośliwą aplikację: Zwróć uwagę na narzędzia sztucznej inteligencji innych firm, którym mogły zostać przyznane szerokie prawa dostępu.
– Monitoruj wskaźniki zagrożenia (IOC): Zespoły ds. bezpieczeństwa powinny używać dostarczonych wskaźników (IOC) do skanowania swoich środowisk pod kątem oznak złośliwej aktywności.
Ostrzeżenie dotyczące bezpieczeństwa: administratorom Google Workspace i posiadaczom kont Google zdecydowanie zaleca się natychmiastowe sprawdzenie sposobu korzystania z tej konkretnej aplikacji innej firmy, aby zapobiec dalszemu nieautoryzowanemu dostępowi.
Wniosek
Incydent w Vercel stanowi wyraźne przypomnienie o ryzyku związanym z integracją stron trzecich. Ponieważ organizacje w coraz większym stopniu polegają na narzędziach opartych na sztucznej inteligencji, bezpieczeństwo całego ekosystemu zależy od najsłabszego ogniwa w łańcuchu dostaw oprogramowania.
